Hallo,
ich habe in meiner Webseite eine Datei welche per Ajax ein PHP Script aufruft, welches die Datenbank abfragt ob der Benutzername bereits vergeben oder noch frei ist.
Da "checkdb.php" als eigenständiges Script aufgerufen wird, inkludiere ich 2 Klassen und die "settings.php"
Da das Script ja eine optimale Angriffsfläche für jeden "Häcker" bietet, würde ich gerne ein Token zur Überprüfung des Vorgangs nutzen.
Eigentlich gebe ich einem Sicherheitstoken ein hidden input Feld, was diesmal leider nicht funktioniert wegen Ajax, da das Script ja nicht abgesendet wird.
Ich habe es nun so gelöst das ich die Remote IPadresse nehme, sie mit sha1(); Verschlüssel, dieser dann mit einer Funktion alle Buchstaben entziehe und somit nur den INT Wert, direkt an Ajax übergebe.
In der "checkdb.php" wird dann ein neuer Wert generiert aus der "aktuellen" IP-Adresse.
Dann Vergleiche ich die beiden Werte und Autorisiere somit den Zugriff auf die Datenbank.
Ist die Abfrage wie ich sie durchführe sicher oder sollte ich eine andere Methode wählen?
ich habe in meiner Webseite eine Datei welche per Ajax ein PHP Script aufruft, welches die Datenbank abfragt ob der Benutzername bereits vergeben oder noch frei ist.
Da "checkdb.php" als eigenständiges Script aufgerufen wird, inkludiere ich 2 Klassen und die "settings.php"
Da das Script ja eine optimale Angriffsfläche für jeden "Häcker" bietet, würde ich gerne ein Token zur Überprüfung des Vorgangs nutzen.
Eigentlich gebe ich einem Sicherheitstoken ein hidden input Feld, was diesmal leider nicht funktioniert wegen Ajax, da das Script ja nicht abgesendet wird.
Code:
<input type="text" size="24" maxlength="50" onchange="checkPort(this.value, TOKEN)" name="username">
In der "checkdb.php" wird dann ein neuer Wert generiert aus der "aktuellen" IP-Adresse.
Dann Vergleiche ich die beiden Werte und Autorisiere somit den Zugriff auf die Datenbank.
Ist die Abfrage wie ich sie durchführe sicher oder sollte ich eine andere Methode wählen?
Kommentar